JP2018527813A - Realization of cloud platform security - Google Patents

Realization of cloud platform security Download PDF

Info

Publication number
JP2018527813A
JP2018527813A JP2018506402A JP2018506402A JP2018527813A JP 2018527813 A JP2018527813 A JP 2018527813A JP 2018506402 A JP2018506402 A JP 2018506402A JP 2018506402 A JP2018506402 A JP 2018506402A JP 2018527813 A JP2018527813 A JP 2018527813A
Authority
JP
Japan
Prior art keywords
packet
openflow
entry
bridge
port
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018506402A
Other languages
Japanese (ja)
Other versions
JP6595698B2 (en
Inventor
イェーフェイ ホウ
イェーフェイ ホウ
Original Assignee
ニュー エイチ3シー テクノロジーズ カンパニー,リミティド
ニュー エイチ3シー テクノロジーズ カンパニー,リミティド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ニュー エイチ3シー テクノロジーズ カンパニー,リミティド, ニュー エイチ3シー テクノロジーズ カンパニー,リミティド filed Critical ニュー エイチ3シー テクノロジーズ カンパニー,リミティド
Publication of JP2018527813A publication Critical patent/JP2018527813A/en
Application granted granted Critical
Publication of JP6595698B2 publication Critical patent/JP6595698B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本発明は、クラウドプラットフォームセキュリティを実現する方法及び装置を提供する。本発明において、クラウドプラットフォームにおけるクラウドサーバーの中にMACブリッジを代替するOpenflowブリッジを構築し、OpenflowブリッジはOpenflowセキュリティテーブルによりクラウドプラットフォームのセキュリティを実現する。【選択図】図3AThe present invention provides a method and apparatus for realizing cloud platform security. In the present invention, an Openflow bridge that replaces the MAC bridge is constructed in the cloud server in the cloud platform, and the Openflow bridge realizes the security of the cloud platform by the Openflow security table. [Selection] Figure 3A

Description

セキュリティは今までずっと各クラウドプラットフォームの必須特性である。現在のオープンソース・クラウドプラットフォーム及び非オープンソース・クラウドプラットフォームでは、いずれも動的学習したインターネット・プロトコル(IP)テーブル及びレイヤ2メディア・アクセス・コントロール(MAC)転送テーブルにより、クラウドプラットフォームのセキュリティを実現する。   Security has always been an essential characteristic of each cloud platform. Both the current open source cloud platform and non-open source cloud platform realize the security of the cloud platform by dynamically learning Internet protocol (IP) table and layer 2 media access control (MAC) forwarding table To do.

オープンソース・クラウドプラットフォームのOpenstackを例に説明するが、非オープンソース・クラウドプラットフォームの原理も類似する。図1は、オープンソース・クラウドプラットフォームのOpenstackにおけるいずれか1つのクラウドサーバーの構成図を示す。Linux(登録商標)カーネルのプライマリーブリッジ(qbrブリッジであり、MACブリッジとも呼ばれる)、例えば図1に示すMAC ブリッジ_1、MAC ブリッジ_2、MAC ブリッジ_3は、動的学習したIPテーブル及びレイヤ2MAC転送テーブルにより、オープンソース・クラウドプラットフォームのOpenstackのセキュリティを実現する。図1に示す仮想マシン(VM:Virtual Machine)1からVM2へのパケット送信を例にすると、VM1はローカルポートeth0を介してパケットを送信し、MACブリッジはVM1の仮想ネットワークカード(Veth:Virtual ethernet(登録商標))によりMACブリッジのポートVeth1でVM1からのパケットを受信し、その前に動的学習したIPテーブルによりパケットのフィルタリングおよび識別を行い、動的学習したレイヤ2MAC転送テーブルによりフィルタリング後のパケットを転送し続ける。   An open source cloud platform Openstack will be described as an example, but the principle of a non-open source cloud platform is similar. FIG. 1 shows a configuration diagram of any one cloud server in Openstack of an open source cloud platform. A primary bridge (a qbr bridge, also called a MAC bridge) of a Linux (registered trademark) kernel, for example, the MAC bridge_1, the MAC bridge_2, and the MAC bridge_3 illustrated in FIG. 1 includes a dynamically learned IP table and a layer 2 MAC forwarding table. To realize Openstack security for open source cloud platform. Taking packet transmission from the virtual machine (VM: Virtual Machine) 1 to VM 2 shown in FIG. 1 as an example, the VM 1 transmits a packet via the local port eth0, and the MAC bridge is the virtual network card (Veth: Virtual Ethernet) of the VM1. (Registered trademark)) receives a packet from VM1 at port Veth1 of the MAC bridge, performs filtering and identification of the packet by the IP table learned dynamically before that, and performs filtering after filtering by the dynamically learned Layer 2 MAC forwarding table Continue to forward packets.

図1は、オープンソース・クラウドプラットフォームのOpenstackにおけるいずれか1つのクラウドサーバーの構成図を示す。FIG. 1 shows a configuration diagram of any one cloud server in Openstack of an open source cloud platform. 図2は、本発明の例で提供するクラウドプラットフォームにおけるいずれか1つのクラウドサーバーの構成図である。FIG. 2 is a configuration diagram of any one cloud server in the cloud platform provided in the example of the present invention. 図3Aは、本発明の例で提供する、オープンフロー(Openflow)テーブルによりクラウドプラットフォームのセキュリティを実現する方法のフローチャートである。FIG. 3A is a flowchart of a method for realizing security of a cloud platform using an open flow table provided in the example of the present invention. 図3Bは、本発明の例で提供する、ソースOpenflowブリッジが、検索されたOpenflowセキュリティテーブルにおける転送動作に基づいて第1のパケットを転送する方法のフローチャートである。FIG. 3B is a flowchart of a method for forwarding a first packet based on a forwarding operation in a searched Openflow security table by a source Openflow bridge provided in an example of the present invention. 図4は、本発明の一例で提供する応用ネットワーク構築の構成の模式図である。FIG. 4 is a schematic diagram of a configuration of application network construction provided in an example of the present invention. 図5は、本発明の別の例で提供する応用ネットワーク構築の構成の模式図である。FIG. 5 is a schematic diagram of the configuration of application network construction provided in another example of the present invention. 図6は、本発明の例で提供する、Openflowテーブルによりクラウドプラットフォームのセキュリティを実現する装置の構成図である。FIG. 6 is a configuration diagram of an apparatus that realizes the security of the cloud platform by the Openflow table provided in the example of the present invention. 図7は、本発明の例で提供する、Openflowテーブルによりクラウドプラットフォームのセキュリティを実現する装置のハードウェア構成図である。FIG. 7 is a hardware configuration diagram of an apparatus that realizes the security of the cloud platform by the Openflow table provided in the example of the present invention.

現在、クラウドプラットフォームにおけるクラウドサーバー上のMACブリッジは、IPテーブル及びレイヤ2MAC転送テーブルによりオープンソース・クラウドプラットフォームのOpenstackのセキュリティを実現する。しかし、IPテーブル及びレイヤ2MAC転送テーブルは、その可制御性が悪く、Openflowテーブルより遥かに劣っている。また、現在のクラウドプラットフォームにおけるクラウドサーバー上の他のブリッジ、例えば内部ブリッジ(BR−Int)、外部ブリッジ(BR−Ext)内のエントリはすべてOpenflowテーブルである。それゆえ、同一のクラウドサーバーにおいて、MACブリッジにおけるIPテーブル及びレイヤ2MAC転送テーブルと、他のブリッジにおけるOpenflowテーブルとが統一していない。   Currently, the MAC bridge on the cloud server in the cloud platform realizes the Openstack security of the open source cloud platform by the IP table and the layer 2 MAC forwarding table. However, the IP table and the layer 2 MAC forwarding table have poor controllability and are far inferior to the Openflow table. Further, all the entries in other bridges on the cloud server in the current cloud platform, for example, the internal bridge (BR-Int) and the external bridge (BR-Ext), are all in the Openflow table. Therefore, in the same cloud server, the IP table and the layer 2 MAC forwarding table in the MAC bridge and the Openflow table in other bridges are not unified.

本発明の目的、技術案及びメリットがより明確になるように、以下、添付図面及び具体的な実施例により本発明を詳細に説明する。   The present invention will be described in detail below with reference to the accompanying drawings and specific examples so that the objects, technical solutions, and merits of the present invention become clearer.

本発明において、Openflowテーブルによるクラウドプラットフォームのセキュリティを実現するために、クラウドプラットフォームにおけるクラウドサーバー上にOpenflowブリッジを構築し、背景技術の欄に記載のMACブリッジの代わりにOpenflowブリッジによりクラウドプラットフォームのセキュリティを実現する。図2は、本発明で提供するクラウドプラットフォームにおけるいずれか1つのクラウドサーバーの構成図である。図2に示すように、Openflowブリッジは、背景技術の欄に記載のMACブリッジの位置と同じ位置で、VMとBR−Intとの間に接続されている。ただし、MACブリッジは、動的学習したIPテーブル及びレイヤ2MAC転送テーブルによりクラウドプラットフォームのセキュリティを実現するのに対して、本発明においてOpenflowブリッジは、予め配置されたOpenflowセキュリティテーブルにより、クラウドプラットフォームのセキュリティを実現する。   In the present invention, in order to realize the security of the cloud platform by the Openflow table, an Openflow bridge is constructed on the cloud server in the cloud platform, and the security of the cloud platform is improved by the Openflow bridge instead of the MAC bridge described in the background art section. Realize. FIG. 2 is a configuration diagram of any one cloud server in the cloud platform provided by the present invention. As shown in FIG. 2, the Openflow bridge is connected between the VM and the BR-Int at the same position as the MAC bridge described in the background art section. However, the MAC bridge realizes the security of the cloud platform by the dynamically learned IP table and the layer 2 MAC forwarding table, whereas in the present invention, the Openflow bridge uses the Openflow security table arranged in advance to provide the security of the cloud platform. To realize.

本発明において、Openflowセキュリティテーブルは複数のOpenflowセキュリティエントリを含み、Openflowセキュリティエントリの各々は、マッチング条件と転送動作という2つの部分を含む。   In the present invention, the Openflow security table includes a plurality of Openflow security entries, and each of the Openflow security entries includes two parts: a matching condition and a transfer operation.

本発明の一例として、ここでのマッチング条件は、パケット受信ポートと、パケットに搭載されたパケット属性パラメータとを含んでもよい。一例において、パケットに搭載されたパケット属性パラメータは、パケット5タプル及びパケット7タプルのうちの少なくとも一方であってもよい。ここで、パケット5タプルは、宛先IPアドレス、ソースIPアドレス、宛先ポート番号、ソースポート番号、プロトコルの種類であり、パケット7タプルは、宛先IPアドレス、ソースIPアドレス、宛先MACアドレス、ソースMACアドレス、宛先ポート番号、ソースポート番号、プロトコルの種類である。   As an example of the present invention, the matching condition here may include a packet reception port and a packet attribute parameter mounted on the packet. In one example, the packet attribute parameter mounted on the packet may be at least one of a packet 5 tuple and a packet 7 tuple. Here, the packet 5 tuple is the destination IP address, source IP address, destination port number, source port number, and protocol type, and the packet 7 tuple is the destination IP address, source IP address, destination MAC address, source MAC address. , Destination port number, source port number, and protocol type.

本発明の一例として、転送動作は、Openflowセキュリティエントリにマッチングするパケットに対して実行する転送動作であってもよい。Openflowセキュリティエントリにおける転送動作によるパケット転送の詳細は後述する。   As an example of the present invention, the transfer operation may be a transfer operation that is performed on a packet that matches an Openflow security entry. Details of the packet transfer by the transfer operation in the Openflow security entry will be described later.

以上の説明を踏まえ、以下は、Openflowブリッジが、予め配置されたOpenflowセキュリティテーブルによりクラウドプラットフォームのセキュリティを実現する手順について詳細に説明する。   Based on the above description, the following describes in detail the procedure by which the Openflow bridge realizes the security of the cloud platform by using an Openflow security table arranged in advance.

図3Aを参照する。図3Aは本発明で提供する、Openflowテーブルによりクラウドプラットフォームのセキュリティを実現する方法のフローチャートである。このフローは上述のようなOpenflowブリッジに適用される。図3Aに示すように、このフローは下記のステップを含む。   Refer to FIG. 3A. FIG. 3A is a flowchart of a method for realizing the security of the cloud platform using the Openflow table provided in the present invention. This flow is applied to the Openflow bridge as described above. As shown in FIG. 3A, this flow includes the following steps.

ステップ301において、パケットを受信する。   In step 301, a packet is received.

このステップにおいて、前記パケットは、ローカルVMからの第1のパケットであってもよく、あるいはローカルVM宛の第2のパケットであってもよい。   In this step, the packet may be a first packet from the local VM or a second packet destined for the local VM.

ただし、ここでの第1のパケットや第2のパケットは、VMからのパケットとVM宛のパケットを区別するためのものにすぎず、本発明を限定するものではない。   However, the first packet and the second packet here are only for distinguishing between the packet from the VM and the packet addressed to the VM, and do not limit the present invention.

ステップ302において、前記パケットが、ローカルVMからのパケット、又はローカルVM宛のパケットである場合、前記パケットを受信したポートと、前記パケットに搭載されたパケット属性パラメータとをキーワードとして、ローカルに予め配置されたOpenflowセキュリティテーブルの中から、マッチング条件が前記キーワードであるOpenflowセキュリティエントリを検索する。検索された場合に、検索されたOpenflowセキュリティエントリにおける転送動作に基づいて前記パケットを転送し、検索されなかった場合には、前記パケットを破棄する。   In step 302, if the packet is a packet from the local VM or a packet destined for the local VM, the packet is placed in advance locally using the port that received the packet and the packet attribute parameter mounted in the packet as keywords The Openflow security entry whose matching condition is the keyword is searched from the openflow security table. When the search is performed, the packet is transferred based on the transfer operation in the searched Openflow security entry. When the search is not performed, the packet is discarded.

説明の便宜上、ローカルVMからの第1のパケットを受信したOpenflowブリッジをソースOpenflowブリッジと称し、ローカルVM宛の第2のパケットを受信したOpenflowブリッジを宛先Openflowブリッジと称する。以下には、OpenflowブリッジをソースOpenflowブリッジと宛先Openflowブリッジに分けて説明する。   For convenience of explanation, the Openflow bridge that receives the first packet from the local VM is referred to as a source Openflow bridge, and the Openflow bridge that receives the second packet addressed to the local VM is referred to as a destination Openflow bridge. In the following description, the Openflow bridge is divided into a source Openflow bridge and a destination Openflow bridge.

ソースOpenflowブリッジは、第1のパケットを受信した第1のポートと、第1のパケットに搭載されたパケット属性パラメータとを第1のキーワードとして、ローカルに予め配置されたOpenflowセキュリティテーブルの中から、マッチング条件が第1のキーワードであるOpenflowセキュリティエントリを検索する。そして、ソースOpenflowブリッジは、検索された場合に、検索されたOpenflowセキュリティエントリにおける転送動作に基づいて第1のパケットを転送し、検索されなかった場合には、第1のパケットを破棄する。   The source Openflow bridge uses the first port that has received the first packet and the packet attribute parameter mounted on the first packet as the first keyword from the Openflow security table that is locally arranged in advance. The Openflow security entry whose matching condition is the first keyword is searched. When the source Openflow bridge is searched, the source Openflow bridge transfers the first packet based on the transfer operation in the searched Openflow security entry. When the source Openflow bridge is not searched, the source Openflow bridge discards the first packet.

宛先Openflowブリッジは、第2のパケットを受信した第2のポートと、第2のパケットに搭載されたパケット属性パラメータとを第2のキーワードとして、ローカルに予め配置されたOpenflowセキュリティテーブルの中から、マッチング条件が前記第2のキーワードであるOpenflowセキュリティエントリを検索する。そして、宛先Openflowブリッジは、検索された場合に、検索されたOpenflowセキュリティエントリにおける転送動作に基づいて、第1のポートを介してVMへ第2のパケットを転送し、検索されなかった場合には、第2のパケットを破棄する。   The destination Openflow bridge uses the second port that received the second packet and the packet attribute parameter mounted on the second packet as the second keyword from the Openflow security table that is locally arranged in advance. An Openflow security entry whose matching condition is the second keyword is searched. When the destination Openflow bridge is searched, the destination Openflow bridge transfers the second packet to the VM via the first port based on the transfer operation in the searched Openflow security entry. , Discard the second packet.

一例として、検索されたOpenflowセキュリティエントリにおける転送動作に基づいて第2のパケットを転送することは、該Openflowブリッジの、VMに接続される第1のポートを介して、VMへ第2のパケットを送信することを含んでもよい。   As an example, forwarding a second packet based on a forwarding operation in the retrieved Openflow security entry is to forward the second packet to the VM via the first port of the Openflow bridge connected to the VM. It may include transmitting.

これまで、図3Aに示すフローが完了する。   So far, the flow shown in FIG. 3A is completed.

本発明の一例として、図3Bは、本発明の例で提供する、ソースOpenflowブリッジが、検索されたOpenflowセキュリティテーブルにおける転送動作に基づいて第1のパケットを転送する方法のフローチャートである。図3Bに示すように、ソースOpenflowブリッジが、検索されたOpenflowセキュリティエントリにおける転送動作に基づいて第1のパケットを転送することは、下記のステップを含む。   As an example of the present invention, FIG. 3B is a flowchart of a method provided by the example of the present invention, in which the source Openflow bridge forwards the first packet based on the forwarding operation in the searched Openflow security table. As shown in FIG. 3B, forwarding the first packet based on the forwarding operation in the retrieved Openflow security entry by the source Openflow bridge includes the following steps.

ステップa1において、ソースOpenflowブリッジは、第1のパケットが先頭パケットであるか否かを判定し、第1のパケットが先頭パケットである場合にステップa2を実行し、第1のパケットが先頭パケットでない場合にはステップa3を実行する。   In step a1, the source Openflow bridge determines whether or not the first packet is the leading packet, and executes step a2 if the first packet is the leading packet, and the first packet is not the leading packet. In that case, step a3 is executed.

ここで、第1のパケットが先頭パケットであるか否かを判定する手法は、従来の先頭パケットの判定手法に類似するため、詳細な説明は省略する。   Here, since the method for determining whether or not the first packet is the head packet is similar to the conventional method for determining the head packet, detailed description thereof is omitted.

ステップa2において、ソースOpenflowブリッジは、該Openflowブリッジ上の第2のポートを介して、BR−Int上の、前記第2のポートとピア(Peer)になる第3のポートへ第1のパケットを転送する。そして、現フローを終了する。   In step a2, the source Openflow bridge sends the first packet to the third port on the BR-Int that becomes a peer with the second port via the second port on the Openflow bridge. Forward. Then, the current flow ends.

このステップa2は、第1のパケットが先頭パケットであることを前提に実行される。   This step a2 is executed on the assumption that the first packet is the head packet.

本発明において、ソースOpenflowブリッジは、第1のパケットが先頭パケットである場合に、該Openflowブリッジ上の第2のポートを介して、BR−Int上の、第2のポートとピア(Peer)になる第3のポートへ第1のパケットを送信する。こうして、第1のパケットはBR−Int上の第3のポートに到着することになる。BR−Intは、第3のポートを介して第1のパケットを受信すると、ローカルのOpenflow転送テーブルの中から、第1のパケットにマッチングするOpenflow転送エントリを検索し(検索されたOpenflow転送エントリをエントリ1と記する)、検索されたエントリ1における転送動作に基づいて第1のパケットを転送し続ける。   In the present invention, when the first packet is the first packet, the source Openflow bridge sends the second port on the BR-Int and the peer (Peer) via the second port on the Openflow bridge. The first packet is transmitted to the third port. Thus, the first packet arrives at the third port on BR-Int. When the BR-Int receives the first packet via the third port, it searches the local Openflow transfer table for an Openflow transfer entry that matches the first packet (the searched Openflow transfer entry is found). (Denoted as entry 1), and continues to transfer the first packet based on the transfer operation in the searched entry 1.

第1のパケットの宛先デバイスが同一のクラウドサーバー上の別のVMである場合、上記BR−Intにより検索されたエントリ1における転送動作は、該BR−Int上の第4のポートを介して、宛先デバイスに接続されるOpenflowブリッジ(つまり宛先Openflowブリッジ)上の、第4のポートとピアになる第5のポートへ第1のパケットを送信する動作である。これに基づき、BR−Intは、該BR−Int上の第4のポートを介して、宛先Openflowブリッジ上の、第4のポートとピアになる第5のポートへ第1のパケットを送信する。宛先Openflowブリッジは、第5のポートを介して第1のパケットを受信すると、第1のパケットがローカルVM宛のものであるため、ステップ303の説明と同じように、第1のパケットを受信した第5のポートと、第1のパケットに搭載されたパケット属性パラメータとに基づいて、ローカルに予め配置されたOpenflowセキュリティテーブルの中から、第1のパケットにマッチングするOpenflowセキュリティエントリを検索する。そして、宛先Openflowブリッジは、検索された場合に(検索されたOpenflowセキュリティエントリをエントリ2と記する)、検索されたエントリ2における転送動作に基づいて、宛先デバイスに接続される出力ポートを介して第1のパケットを宛先デバイスへ送信し、最終的に第1のパケットは宛先デバイスに到着することになる。また、検索されなかった場合には、第1のパケットを破棄する。   When the destination device of the first packet is another VM on the same cloud server, the forwarding operation in the entry 1 searched by the BR-Int is performed via the fourth port on the BR-Int. In this operation, the first packet is transmitted to the fifth port that is peered with the fourth port on the Openflow bridge (that is, the destination Openflow bridge) connected to the destination device. Based on this, the BR-Int transmits the first packet to the fifth port peering with the fourth port on the destination Openflow bridge via the fourth port on the BR-Int. When the destination Openflow bridge receives the first packet via the fifth port, the first packet is addressed to the local VM, and therefore the first packet is received as described in step 303. Based on the fifth port and the packet attribute parameter mounted on the first packet, an Openflow security entry that matches the first packet is searched from an Openflow security table that is locally arranged in advance. Then, when the destination Openflow bridge is searched (the searched Openflow security entry is described as entry 2), the destination Openflow bridge passes through the output port connected to the destination device based on the transfer operation in the searched entry 2. The first packet is transmitted to the destination device, and finally the first packet arrives at the destination device. If no search is made, the first packet is discarded.

第1のパケットの宛先デバイスがネットワーク上の物理ホスト又は別のクラウドサーバー上の別のVMである場合、BR−Intにより検索されたエントリ1における転送動作は、該BR−Int上の第6のポートを介して、BR−Ext上の、第6のポートとピアになる第7のポートへ第1のパケットを送信する動作である。これに基づき、BR−Intは、該BR−Int上の第6のポートを介して、BR−Ext上の、第6のポートとピアになる第7のポートへ第1のパケットを送信する。BR−Extは、第1のパケットを受信すると、ローカルOpenflow転送テーブルの中から、第1のパケットにマッチングするOpenflow転送エントリを検索し(検索されたOpenflow転送エントリをエントリ3と記する)、検索されたエントリ3における転送動作に基づいて第1のパケットを転送し続ける。ここで、検索されたエントリ3における転送動作は、第1のパケットをVXLANカプセル化し、BR−Ext上の物理ポート(宛先デバイスに接続されるルーティングの出力ポート)を介して、VXLANカプセル化された第1のパケットを転送する動作であってもよい。こうして、最終的に第1のパケットは宛先デバイスに到着することになる。   If the destination device of the first packet is a physical host on the network or another VM on another cloud server, the forwarding operation in entry 1 retrieved by BR-Int is the sixth on the BR-Int. In this operation, the first packet is transmitted to the seventh port that is a peer with the sixth port on the BR-Ext via the port. Based on this, the BR-Int transmits the first packet via the sixth port on the BR-Int to the seventh port peering with the sixth port on the BR-Ext. When the BR-Ext receives the first packet, it searches the local Openflow transfer table for an Openflow transfer entry that matches the first packet (describes the searched Openflow transfer entry as entry 3). The transfer of the first packet is continued based on the transfer operation in the entered entry 3. Here, in the transfer operation in the searched entry 3, the first packet is VXLAN-encapsulated, and is VXLAN-encapsulated via a physical port on BR-Ext (routing output port connected to the destination device). The operation may be to transfer the first packet. Thus, the first packet finally arrives at the destination device.

上述した、第1のパケットが宛先デバイスへの先頭パケットであり、かつ宛先デバイスが同一のクラウドサーバー上の別のVMである場合においてソースOpenflowブリッジ、BR−Int、宛先Openflowブリッジで行われる第1のパケットの転送、あるいは第1のパケットが宛先デバイスへの先頭パケットであり、かつ宛先デバイスがネットワーク上の物理ホスト又は別のクラウドサーバー上の別のVMである場合においてソースOpenflowブリッジ、BR−Int、BR−Extで行われる第1のパケットの転送に関する説明を踏まえ、本発明において、クラウドプラットフォーム上のコントローラ(例えばSDNコントローラ)はさらに、第1のパケット転送用のOpenflow転送エントリ(エントリ4と記する)を動的に生成して、ソースOpenflowブリッジに配信して記憶するようにしてもよい。例えば、エントリ4をソースOpenflowブリッジのOpenflow転送テーブルに記憶してもよい。   As described above, when the first packet is the first packet to the destination device and the destination device is another VM on the same cloud server, the first performed in the source Openflow bridge, BR-Int, and destination Openflow bridge Or the first packet is the first packet to the destination device, and the destination device is a physical host on the network or another VM on another cloud server, the source Openflow bridge, BR-Int In the present invention, a controller (for example, an SDN controller) on the cloud platform further includes an Openflow transfer entry (denoted as entry 4) for the first packet transfer. That) to dynamically generate, it may be stored to distribute the source Openflow bridge. For example, entry 4 may be stored in the Openflow transfer table of the source Openflow bridge.

本発明において、第1のパケットが宛先デバイスへの先頭パケットであり、かつ宛先デバイスが同一のクラウドサーバー上の別のVMである場合、エントリ4は、非重複の原則に基づいて、第1のパケットがソースOpenflowブリッジ、BR−Int、宛先Openflowブリッジを経由する時に検索された、第1のパケットにマッチングするOpenflowエントリを組み合わせたエントリである。例を挙げて説明すると、第1のパケットが宛先デバイスへの先頭パケットであり、かつ宛先デバイスが同一のクラウドサーバー上の別のVMである場合、第1のパケットは、上述したソースOpenflowブリッジ、BR−Int、宛先Openflowブリッジを経由して転送される。そのエントリ4のマッチング条件は、第1のパケットがソースOpenflowブリッジを経由する時に検索された、第1のパケットにマッチングするOpenflowセキュリティエントリにおけるマッチング条件と、第1のパケットがBR−Intを経由する時に検索された、第1のパケットにマッチングするOpenflow転送エントリにおけるマッチング条件と、第1のパケットが宛先OpenflowブリッジBR−Intを経由する時に検索された、第1のパケットにマッチングするOpenflowセキュリティエントリにおけるマッチング条件との組み合わせである(ただし、最終的に組み合わせたマッチング条件は、重複内容がないことを確保する必要がある)。また、エントリ4の転送動作は、第1のパケットがソースOpenflowブリッジを経由する時に検索された、第1のパケットにマッチングするOpenflowセキュリティエントリにおける転送動作と、第1のパケットがBR−Intを経由する時に検索された、第1のパケットにマッチングするOpenflow転送エントリにおける転送動作と、第1のパケットが宛先Openflowブリッジを経由する時に検索された、第1のパケットにマッチングするOpenflowセキュリティエントリにおける転送動作との組み合わせである(ただし、最終的に組み合わせた転送動作では、中間階段の転送操作を省略してもよい。すなわち、上述したエントリ2における転送操作のみを残してもよい)。   In the present invention, when the first packet is a head packet to the destination device and the destination device is another VM on the same cloud server, the entry 4 is based on the principle of non-overlapping. This entry is a combination of Openflow entries that match the first packet, which are searched when the packet passes through the source Openflow bridge, BR-Int, and destination Openflow bridge. For example, if the first packet is the first packet to the destination device and the destination device is another VM on the same cloud server, the first packet is the source Openflow bridge described above, Transferred via BR-Int and destination Openflow bridge. The matching condition of the entry 4 is the matching condition in the Openflow security entry that matches the first packet that is searched when the first packet passes through the source Openflow bridge, and the first packet passes through BR-Int. Matching conditions in the Openflow forwarding entry that matches the first packet, which are sometimes retrieved, and in the Openflow security entry that matches the first packet, which is retrieved when the first packet passes through the destination Openflow bridge BR-Int. It is a combination with a matching condition (however, it is necessary to ensure that the finally combined matching condition has no duplicate contents). In addition, the transfer operation of entry 4 includes the transfer operation in the Openflow security entry that matches the first packet, which is searched when the first packet passes through the source Openflow bridge, and the first packet passes through BR-Int. The forwarding operation in the Openflow forwarding entry that matches the first packet that is searched when the first packet is searched, and the forwarding operation in the Openflow security entry that matches the first packet that is searched when the first packet passes through the destination Openflow bridge (However, in the finally combined transfer operation, the intermediate step transfer operation may be omitted. That is, only the transfer operation in the entry 2 described above may be left).

第1のパケットが宛先デバイスへの先頭パケットであり、かつ宛先デバイスがネットワーク上の物理ホスト又は別のクラウドサーバー上の別のVMである場合、エントリ4は、非重複の原則に基づいて、第1のパケットがソースOpenflowブリッジ、BR−Int、BR−Extを経由する時に検索された、第1のパケットにマッチングするOpenflowエントリを組み合わせたエントリである。例を挙げて説明すると、第1のパケットが宛先デバイスへの先頭パケットであり、かつ宛先デバイスがネットワーク上の物理ホスト又は別のネットワークノード上の別のVMである場合、第1のパケットは、上述したソースOpenflowブリッジ、BR−Int、BR−Extを経由して転送される。そのエントリ4のマッチング条件は、第1のパケットがソースOpenflowブリッジを経由する時に検索された、第1のパケットにマッチングするOpenflowセキュリティエントリにおけるマッチング条件と、第1のパケットがBR−Intを経由する時に検索された、第1のパケットにマッチングするOpenflow転送エントリにおけるマッチング条件と、第1のパケットがBR−Extを経由する時の第1のパケットにマッチングするOpenflow転送エントリにおけるマッチング条件との組み合わせである(ただし、最終的に組み合わせたマッチング条件は、重複内容がないことを確保する必要がある)。また、エントリ4の転送動作は、第1のパケットがソースOpenflowブリッジを経由する時に検索された、第1のパケットにマッチングするOpenflowセキュリティエントリにおける転送動作と、第1のパケットがBR−Intを経由する時に検索された、第1のパケットにマッチングするOpenflow転送エントリにおける転送動作と、第1のパケットがBR−Extを経由する時の第1のパケットにマッチングするOpenflow転送エントリにおける転送動作との組み合わせである(ただし、最終的に組み合わせた転送動作では、中間階段の転送操作を省略してもよいが、他の非転送操作、例えばVXLANカプセル化等は省略する必要がない)。   If the first packet is the first packet to the destination device and the destination device is a physical host on the network or another VM on another cloud server, entry 4 is based on the principle of non-overlapping. This is a combination of Openflow entries that match the first packet, searched when one packet passes through the source Openflow bridge, BR-Int, and BR-Ext. By way of example, if the first packet is the first packet to the destination device and the destination device is a physical host on the network or another VM on another network node, the first packet is Transfer is performed via the above-described source Openflow bridge, BR-Int, and BR-Ext. The matching condition of the entry 4 is the matching condition in the Openflow security entry that matches the first packet that is searched when the first packet passes through the source Openflow bridge, and the first packet passes through BR-Int. A combination of the matching condition in the Openflow transfer entry that matches the first packet and the matching condition in the Openflow transfer entry that matches the first packet when the first packet passes through BR-Ext, Yes (however, it is necessary to ensure that the finally combined matching conditions have no duplicate content). In addition, the transfer operation of entry 4 includes the transfer operation in the Openflow security entry that matches the first packet, which is searched when the first packet passes through the source Openflow bridge, and the first packet passes through BR-Int. The combination of the transfer operation in the Openflow transfer entry that matches the first packet and the transfer operation in the Openflow transfer entry that matches the first packet when the first packet passes through the BR-Ext. (However, in the finally combined transfer operation, intermediate step transfer operations may be omitted, but other non-transfer operations such as VXLAN encapsulation need not be omitted).

上述したエントリ4から明らかなように、第1のパケットが宛先デバイスへの先頭パケットである場合、宛先デバイスが同一のクラウドサーバー上の別のVMであるか、あるいはネットワーク上の物理ホスト又は別のクラウドサーバー上の別のVMであるかを問わず、エントリ4は最終的に、第1のパケットがクラウドサーバー上の各ブリッジを経由する時に検索された、第1のパケットにマッチングするOpenflowエントリを集めたものである。これにより、その後に宛先デバイスへ送信される非先頭パケットに対しては、ソースOpenflowブリッジにおいてOpenflow転送エントリの検索を1回行えばよく、クラウドサーバーにおける他の各ブリッジにおいてOpenflowエントリを検索することなく、宛先デバイスに転送することができるので、パケット転送効率が高くなる。詳細はステップa3を参照すれば明らかになる。   As can be seen from entry 4 above, if the first packet is the first packet to the destination device, then the destination device is another VM on the same cloud server, or a physical host on the network or another Regardless of whether it is another VM on the cloud server, entry 4 will eventually contain an Openflow entry that matches the first packet that was retrieved when the first packet went through each bridge on the cloud server. It is a collection. As a result, for the non-first packet transmitted to the destination device thereafter, the Openflow transfer entry only needs to be searched once in the source Openflow bridge, and the Openflow entry is not searched in each other bridge in the cloud server. Since the packet can be transferred to the destination device, the packet transfer efficiency is increased. Details will become apparent with reference to step a3.

ステップa3において、ソースOpenflowブリッジは、ローカルOpenflow転送テーブルの中から、第1のパケットにマッチングするOpenflow転送エントリ(つまり上記エントリ4)を検索し、検索されたOpenflow転送エントリにおける転送動作に基づいて第1のパケットを転送する。そして、現フローを終了する。   In step a3, the source Openflow bridge searches for an Openflow transfer entry (that is, the entry 4) that matches the first packet from the local Openflow transfer table, and sets the first Openflow bridge based on the transfer operation in the searched Openflow transfer entry. 1 packet is transferred. Then, the current flow ends.

このステップa3は、第1のパケットが非先頭パケットであることを前提に実行される。   This step a3 is executed on the assumption that the first packet is a non-first packet.

上述したエントリ4から明らかなように、エントリ4は、宛先デバイスへの先頭パケットがクラウドサーバー内の各ブリッジを経由する時に検索された、先頭パケットにマッチングするOpenflowエントリを集めたものである。これに基づき、第1のパケットが宛先デバイスへの非先頭パケットである場合、このステップa3においてソースOpenflowブリッジがローカルOpenflow転送テーブルの中から検索された、第1のパケットにマッチングするOpenflow転送エントリは、上記エントリ4である。エントリ4は、宛先デバイスへの先頭パケットがクラウドサーバー内の各ブリッジを経由する時に検索された、先頭パケットにマッチングするOpenflowエントリを集めたものである。これに基づき、このステップa3において、検索されたOpenflow転送エントリにおける転送動作に基づいて第1のパケットを転送することは、第1のパケットを、クラウドサーバー内の各ブリッジを渡って直接転送することとなる。このように、第1のパケットを宛先デバイスに転送するとき、ソースOpenflowブリッジにおいてOpenflow転送テーブルの検索を1回だけ実行すればよく、クラウドサーバー内の他の各ブリッジにおいてOpenflowエントリを検索する必要がなく、パケット転送効率が高くなる。   As is clear from the entry 4 described above, the entry 4 is a collection of Openflow entries that match the first packet searched when the first packet to the destination device passes through each bridge in the cloud server. Based on this, if the first packet is a non-leading packet to the destination device, the Openflow forwarding entry matching the first packet, in which the source Openflow bridge is searched from the local Openflow forwarding table in step a3, is , Entry 4 above. The entry 4 is a collection of Openflow entries that match the first packet that is searched when the first packet to the destination device passes through each bridge in the cloud server. Based on this, transferring the first packet based on the transfer operation in the searched Openflow transfer entry in this step a3 directly transfers the first packet across each bridge in the cloud server. It becomes. In this way, when forwarding the first packet to the destination device, it is only necessary to search the Openflow forwarding table once in the source Openflow bridge, and it is necessary to search the Openflow entry in each of the other bridges in the cloud server. The packet transfer efficiency is high.

パケットp1が宛先デバイス(同一のクラウドサーバー内の別のVM)への非先頭パケットである場合を例として説明する。ソースOpenflowブリッジは、パケットp1を受信して、パケットp1が宛先デバイスへの非先頭パケットであることを発見すると、ローカルOpenflow転送テーブルの中から、パケットp1にマッチングするOpenflow転送エントリを検索し、検索されたOpenflow転送エントリにおける転送動作に基づいてパケットp1を転送する。ここで、パケットp1にマッチングするOpenflow転送エントリは、宛先デバイスへの先頭パケットがソースOpenflowブリッジ、BR−Int、宛先Openflowブリッジを経由する時に検索された、先頭パケットにマッチングするOpenflowエントリの寄せ集めである。このように、検索されたOpenflow転送エントリにおける転送動作に基づくパケットp1の転送によって、最終的に、ソースOpenflowブリッジ、BR−Int、宛先Openflowブリッジを渡って、パケットp1を宛先Openflowブリッジ上の、宛先デバイスに接続されるポートまで送信することとなる。また、パケットp1をこのポートを介して直接転送すればよく、BR−Int、宛先OpenflowブリッジにおいてさらにOpenflowエントリを検索して転送する必要はない。   An example will be described in which the packet p1 is a non-leading packet to a destination device (another VM in the same cloud server). When the source Openflow bridge receives the packet p1 and finds that the packet p1 is a non-first packet to the destination device, the source Openflow bridge searches the local Openflow transfer table for an Openflow transfer entry that matches the packet p1, and searches for it. The packet p1 is transferred based on the transfer operation in the opened Openflow transfer entry. Here, the Openflow transfer entry that matches the packet p1 is a collection of Openflow entries that match the first packet that are searched when the first packet to the destination device passes through the source Openflow bridge, the BR-Int, and the destination Openflow bridge. is there. As described above, the transfer of the packet p1 based on the transfer operation in the searched Openflow transfer entry finally causes the packet p1 to cross the source Openflow bridge, the BR-Int, the destination Openflow bridge, and to send the packet p1 to the destination on the destination Openflow bridge. It will be sent to the port connected to the device. Further, the packet p1 may be directly transferred via this port, and there is no need to further search and transfer the Openflow entry in the BR-Int and the destination Openflow bridge.

本発明において、ステップa1〜ステップa3の順調な実施を確保するために、同一のクラウドサーバー内の各ブリッジ同士は、ポートタイプがPatchであるポートによりつながるように規定してもよい。具体的には、ソースOpenflowブリッジ上の第2のポート、第2のポートとピアになるBR−Int上の第3のポート、BR−Int上の第4のポート、第4のポートとピアになる宛先Openflowブリッジ上の第5のポート、BR−Int上の第6のポート、第6のポートとピアになるBR−Ext上の第7のポートはいずれも、ポートタイプがPatchである。ポートタイプがPatchである場合、先頭パケットが、Patchタイプのポートによりつながる各Openflowタイプのブリッジ(実質的には、Openflowエントリを有するブリッジである。例えば、Openflowブリッジ、BR−Int、BR−Ext等)を経由する時に、すべてのOpenflowタイプのブリッジのOpenflowエントリを自動的に組み合わせることができ、最終的に一つのOpenflow転送エントリ(例えば上述のステップa2において第1のパケットが先頭パケットである場合に生成されたエントリ4)を生成して、後続の非先頭パケットのトラフィック転送をガイダンスすることができる。   In the present invention, in order to ensure the smooth execution of steps a1 to a3, each bridge in the same cloud server may be defined to be connected by a port whose port type is Patch. Specifically, to the second port on the source Openflow bridge, the third port on BR-Int that peers with the second port, the fourth port on BR-Int, the fourth port and peer The fifth port on the destination Openflow bridge, the sixth port on the BR-Int, and the seventh port on the BR-Ext that peers with the sixth port are of port type Patch. When the port type is Patch, the first packet is an Openflow type bridge (actually, a bridge having an Openflow entry. For example, an Openflow bridge, BR-Int, BR-Ext, etc.) connected by a Patch type port. ), The Openflow entries of all Openflow type bridges can be automatically combined, and finally one Openflow transfer entry (for example, when the first packet is the first packet in the above step a2) A generated entry 4) can be generated to guide traffic forwarding for subsequent non-leading packets.

以上は、ステップ302について説明した。   The step 302 has been described above.

以下には、二つの例を挙げて、図3Aに示す方法フローについて説明する。   The method flow shown in FIG. 3A will be described below with two examples.

図4は、一例における応用ネットワーク構築の模式図である。図4の応用ネットワーク構築は、クラウドプラットフォームにおける1つのサーバーのネットワークのみを例示している。図4に示すように、VM_11は、ローカルポートeth_11によりOpenflowブリッジ_11上の仮想ネットワークカードVeth_11に接続され、VM_12は、ローカルポートeth_12によりOpenflowブリッジ_12の仮想ネットワークカードVeth_12に接続され、このように類推していき、VM_1nは、ローカルポートeth_1nによりOpenflowブリッジ_1nの仮想ネットワークカードVeth_1nに接続される。図4において、Openflowブリッジ_11は、ポートPatch_VM_11によりBR−IntのポートPatch_Int_11に接続され、Openflowブリッジ_12は、ポートPatch_VM_12によりBR−IntのポートPatch_Int_12に接続され、このように類推していき、Openflowブリッジ_1nは、ポートPatch_VM_1nによりBR−IntのポートPatch_Int_1nに接続される。そのうち、Openflowブリッジ_11上のポートPatch_VM_11とBR−Int上のポートPatch_Int_11は互いにピアになり、ポートタイプがPatchであり、Openflowブリッジ_12上のポートPatch_VM_12とBR−Int上のポートPatch_Int_12は互いにピアになり、ポートタイプがPatchであり、このように類推していき、Openflowブリッジ_1n上のポートPatch_VM_1nとBR−Int上のポートPatch_Int_1nは互いにピアになり、ポートタイプがPatchである。図4において、BR−Intは、ポートPatch_40によりBR−Ext上のポートPatch_41に接続され、Patch_40、Patch_41はポートタイプがPatchである。図4におけるVM_11〜VM_1n、Openflowブリッジ_11〜Openflowブリッジ_1n、BR−Int、BR−Extは同一のクラウドサーバーに位置する。   FIG. 4 is a schematic diagram of application network construction in an example. The application network construction of FIG. 4 illustrates only a network of one server in the cloud platform. As shown in FIG. 4, VM_11 is connected to the virtual network card Veth_11 on the Openflow bridge_11 by the local port eth_11, and VM_12 is connected to the virtual network card Veth_12 of the Openflow bridge_12 by the local port eth_12. The VM_1n is connected to the virtual network card Veth_1n of the Openflow bridge_1n through the local port eth_1n. In FIG. 4, the Openflow bridge_11 is connected to the port Patch_Int_11 of the BR-Int by the port Patch_VM_11, and the Openflow bridge_12 is connected to the port Patch_Int_12 of the BR-Int by the port Patch_VM_12. _1n is connected to the port Patch_Int_1n of BR-Int by the port Patch_VM_1n. Among them, the port Patch_VM_11 on the Openflow bridge_11 and the port Patch_Int_11 on the BR-Int are peers with each other, the port type is Patch, the port Patch_VM_12 on the Openflow bridge_12 and the port Patch_Int_12 on the BR-Int are peers with each other The port type is Patch, and the analogy is thus made. The port Patch_VM_1n on the Openflow bridge_1n and the port Patch_Int_1n on the BR-Int are peers with each other, and the port type is Patch. In FIG. 4, BR-Int is connected to a port Patch_41 on BR-Ext by a port Patch_40, and the port types of Patch_40 and Patch_41 are Patch. In FIG. 4, VM_11 to VM_1n, Openflow bridge_11 to Openflow bridge_1n, BR-Int, and BR-Ext are located in the same cloud server.

この例において、VM_11からVM_12へのアクセスを例に説明すると、以下のとおりになる。   In this example, access from VM_11 to VM_12 will be described as an example as follows.

VM_11は、eth_11を介して、VM_12にアクセスするためのパケットを送信する。説明の便宜上、ここでのパケットをパケット01と記する。   The VM_11 transmits a packet for accessing the VM_12 via the eth_11. For convenience of explanation, the packet here is referred to as a packet 01.

Openflowブリッジ_11は、Veth_11を介してパケット01を受信し、パケット01が初めて受信した、VM_11からVM_12へのパケット(つまり先頭パケット)であることを発見すると、Veth_11と、パケット01に搭載されたパケット属性パラメータとをキーワードとして、ローカルに予め配置されたOpenflowセキュリティテーブルの中から、マッチング条件がこのキーワードであるOpenflowセキュリティエントリを検索する。   When the Openflow bridge_11 receives the packet 01 via the Veth_11 and finds that the packet 01 is the first packet received from the VM_11 to the VM_12 (that is, the first packet), the Veth_11 and the packet mounted on the packet 01 are detected. Using the attribute parameter as a keyword, an Openflow security entry whose matching condition is the keyword is searched from an Openflow security table that is locally arranged in advance.

Openflowブリッジ_11は、Openflowセキュリティエントリが検索されなかった場合、パケット01を直接破棄する。   The Openflow bridge_11 directly discards the packet 01 when the Openflow security entry is not searched.

Openflowブリッジ_11は、Openflowセキュリティエントリが検索された(この検索されたOpenflowセキュリティエントリをエントリ41と記する)場合、エントリ41における転送動作に基づいて、パケット01を該Openflowブリッジ_11のポートPatch_VM_11を介して送信し続ける。   When the Openflow security entry is searched (the searched Openflow security entry is referred to as entry 41), the Openflow bridge_11 sends the packet 01 via the port Patch_VM_11 of the Openflow bridge_11 based on the transfer operation in the entry 41. And continue sending.

BR−Intは、Patch_Int_11を介してパケット01を受信すると、ローカルのOpenflow転送テーブルの中から、パケット01にマッチングするOpenflow転送エントリを検索し(この検索されたOpenflow転送エントリをエントリ42と記する)、エントリ42における転送動作に基づいて、ポートPatch_Int_12を介してパケット01を転送する。   When the BR-Int receives the packet 01 via the Patch_Int_11, the BR-Int searches for an Openflow transfer entry that matches the packet 01 from the local Openflow transfer table (this opened Openflow transfer entry is described as an entry 42). Based on the transfer operation in the entry 42, the packet 01 is transferred through the port Patch_Int_12.

Openflowブリッジ_12は、Patch_VM_12を介してパケット01を受信し、パケット01がVM_12宛のパケットであることを発見すると、Patch_VM_12と、パケット01に搭載されたパケット属性パラメータとをキーワードとして、ローカルに予め配置されたOpenflowセキュリティテーブルの中から、マッチング条件がこのキーワードであるOpenflowセキュリティエントリを検索する。そして、Openflowブリッジ_12は、検索された場合(ここでこの検索されたOpenflowセキュリティエントリをエントリ43と記する)、エントリ43における転送動作に基づいて、該Openflowブリッジ_12のポートVeth_12を介してパケット01を送信する。最終的に、VM_11から送信されるパケット01はVM_12に到着し、VM_11からVM_12へのアクセスが実現される。   When the Openflow bridge_12 receives the packet 01 via the Patch_VM_12 and finds that the packet 01 is a packet addressed to the VM_12, the Openflow bridge_12 is locally arranged in advance using the Patch_VM_12 and the packet attribute parameter mounted on the packet 01 as keywords. The Openflow security entry whose matching condition is this keyword is searched from the Openflow security table that has been set. Then, when the Openflow bridge_12 is searched (here, the searched Openflow security entry is described as the entry 43), the packet 01 is transmitted via the port Veth_12 of the Openflow bridge_12 based on the transfer operation in the entry 43. Send. Finally, the packet 01 transmitted from the VM_11 arrives at the VM_12, and access from the VM_11 to the VM_12 is realized.

クラウドプラットフォーム上のSDNコントローラは、Openflowブリッジ_11、BR−Int、Openflowブリッジ_12で行われるパケット01の転送中において、パケット01がOpenflowブリッジ_11を経由する時に検索されたエントリ41と、パケット01がBR−Intを経由する時に検索されたエントリ42と、パケット01がOpenflowブリッジ_12を経由する時に検索されたエントリ43とを寄せ集めて、パケット01にマッチングするOpenflow転送エントリ(エントリ40と記する)をさらに生成して、Openflowブリッジ_11のOpenflow転送テーブルに配信する。このエントリ40におけるマッチング条件は、エントリ41〜エントリ43におけるマッチング条件の非重複の寄せ集めであり、このエントリ40における転送動作は、エントリ41〜エントリ43における転送動作の非重複の寄せ集めである。ここで、Openflowブリッジ_12のポートVeth_12を介して転送する転送動作を例に説明する。   The SDN controller on the cloud platform transmits the entry 41 searched when the packet 01 passes through the Openflow bridge_11 during the transfer of the packet 01 performed by the Openflow bridge_11, BR-Int, and Openflow bridge_12, and the packet 01 is the BR -Openflow forwarding entry (denoted as entry 40) matching the packet 01 by collecting the entry 42 searched when passing through the Int and the entry 43 searched when the packet 01 passes through the Openflow bridge_12 Further, it is generated and distributed to the Openflow transfer table of the Openflow bridge_11. The matching condition in the entry 40 is a non-overlapping collection of matching conditions in the entries 41 to 43, and the transfer operation in the entry 40 is a non-overlapping collection of transfer operations in the entries 41 to 43. Here, a transfer operation of transferring via the port Veth_12 of the Openflow bridge_12 will be described as an example.

その後、VM_11がVM_12に再度アクセスする際、VM_11は、eth_11を介して、VM_12にアクセスするためのパケットを送信する。説明の便宜上、ここでのパケットをパケット02と記する。   Thereafter, when the VM_11 accesses the VM_12 again, the VM_11 transmits a packet for accessing the VM_12 via the eth_11. For convenience of explanation, the packet here is referred to as a packet 02.

Openflowブリッジ_11は、Veth_11を介してパケット02を受信し、パケット02が初めて受信した、VM_11からVM_12へのパケットではない(つまり非先頭パケットである)ことを発見すると、ローカルOpenflow転送テーブルの中から、パケット02にマッチングするOpenflow転送エントリ(つまり、上記SDNコントローラにより生成されたエントリ40)を検索する。   When the Openflow bridge_11 receives the packet 02 via the Veth_11 and finds that the packet 02 is not the first packet received from the VM_11 to the VM_12 (that is, a non-first packet), the Openflow bridge_11 detects from the local Openflow forwarding table. The Openflow transfer entry matching the packet 02 (that is, the entry 40 generated by the SDN controller) is searched.

Openflowブリッジ_11は、検索されたエントリ40における転送動作に基づいて、パケット02をOpenflowブリッジ_12のVeth_l2へトランスペアレント転送し、Veth_12を介してパケット02を転送するようにOpenflowブリッジ_12を動作させる。最終的に、VM_11から送信されるパケット02はVM_12に到着し、VM_11からVM_12への再度のアクセスが実現される。   Based on the transfer operation in the searched entry 40, the Openflow bridge_11 transparently transfers the packet 02 to Veth_l2 of the Openflow bridge_12, and operates the Openflow bridge_12 to transfer the packet 02 via the Veth_12. Eventually, the packet 02 transmitted from the VM_11 arrives at the VM_12, and re-access from the VM_11 to the VM_12 is realized.

図5は、別の例における応用ネットワーク構築の模式図である。図5の応用ネットワーク構築は、クラウドプラットフォームにおける1つのサーバーのネットワークのみを例示している。図5に示すように、VM_21は、ローカルポートeth_21によりOpenflowブリッジ_21の仮想ネットワークカードVeth_21に接続され、VM_22は、ローカルポートeth_22によりOpenflowブリッジ_22の仮想ネットワークカードVeth_22に接続され、このように類推していき、VM_2nは、ローカルポートeth_2nによりOpenflowブリッジ_2nの仮想ネットワークカードVeth_2nに接続される。図5において、Openflowブリッジ_21は、ポートPatch_VM_21によりBR−IntのポートPatch_Int_21に接続され、Openflowブリッジ_22は、ポートPatch_VM_22によりBR−IntのポートPatch_Int_22に接続され、このように類推していき、Openflowブリッジ_2nは、ポートPatch_VM_2nによりBR−IntのポートPatch_Int_2nに接続される。そのうち、Openflowブリッジ_21上のポートPatch_VM_21とBR−Int上のポートPatch_Int_21は互いにピアになり、ポートタイプがPatchであり、Openflowブリッジ_22上のポートPatch_VM_22とBR−Int上のポートPatch_Int_22は互いにピアになり、ポートタイプがPatchであり、このように類推していき、Openflowブリッジ_2n上のポートPatch_VM_2nとBR−Int上のポートPatch_Int_2nは互いにピアになり、ポートタイプがPatchである。図5において、BR−Intは、ポートPatch_50によりBR−Ext上のポートPatch_51に接続され、Patch_50、Patch_51はポートタイプがPatchである。図5におけるVM_21〜VM_2n、Openflowブリッジ_21〜Openflowブリッジ_2n、BR−Int、BR−Extは同一のサーバーに位置する。   FIG. 5 is a schematic diagram of application network construction in another example. The application network construction of FIG. 5 illustrates only a network of one server in the cloud platform. As shown in FIG. 5, VM_21 is connected to the virtual network card Veth_21 of the Openflow bridge_21 by the local port eth_21, and VM_22 is connected to the virtual network card Veth_22 of the Openflow bridge_22 by the local port eth_22. The VM_2n is connected to the virtual network card Veth_2n of the Openflow bridge_2n through the local port eth_2n. In FIG. 5, the Openflow bridge_21 is connected to the port Patch_Int_21 of the BR-Int by the port Patch_VM_21, and the Openflow bridge_22 is connected to the port Patch_Int_22 of the BR-Int by the port Patch_VM_22. _2n is connected to the port Patch_Int_2n of BR-Int by the port Patch_VM_2n. Among them, the port Patch_VM_21 on the Openflow bridge_21 and the port Patch_Int_21 on the BR-Int are peers with each other, the port type is Patch, the port Patch_VM_22 on the Openflow bridge_22 and the port Patch_Int_22 on the BR-Int are peers with each other The port type is Patch. By analogy in this way, the port Patch_VM_2n on the Openflow bridge_2n and the port Patch_Int_2n on the BR-Int are peers with each other, and the port type is Patch. In FIG. 5, BR-Int is connected to a port Patch_51 on BR-Ext by a port Patch_50, and the port types of Patch_50 and Patch_51 are Patch. VM_21 to VM_2n, Openflow bridge_21 to Openflow bridge_2n, BR-Int, and BR-Ext in FIG. 5 are located on the same server.

この例において、VM_21からネットワーク上の物理ホストPM_21へのアクセスを例に説明すると、以下のとおりになる。   In this example, access from the VM_21 to the physical host PM_21 on the network will be described as an example as follows.

VM_21は、eth_21を介して、PM_21にアクセスするためのパケットを送信する。説明の便宜上、ここでのパケットをパケット21と記する。   VM_21 transmits a packet for accessing PM_21 via eth_21. For convenience of explanation, the packet here is referred to as a packet 21.

Openflowブリッジ_21は、Veth_21を介してパケット21を受信し、パケット21は該Openflowブリッジ_21が初めて受信したVM_21からPM_21へのパケット(つまり先頭パケット)であることを発見すると、Veth_21と、パケット21に搭載されたパケット属性パラメータとをキーワードとして、ローカルに予め配置されたOpenflowセキュリティテーブルの中から、マッチング条件がこのキーワードであるOpenflowセキュリティエントリを検索する。   When the Openflow bridge_21 receives the packet 21 via the Veth_21 and finds that the packet 21 is a packet (that is, the first packet) from the VM_21 to the PM_21 received by the Openflow bridge_21 for the first time, the packet 21 Using the installed packet attribute parameter as a keyword, an Openflow security entry whose matching condition is this keyword is searched from an Openflow security table previously arranged locally.

Openflowブリッジ_21は、Openflowセキュリティエントリが検索されなかった場合、パケット21を直接破棄する。   The Openflow bridge_21 directly discards the packet 21 when the Openflow security entry is not retrieved.

Openflowブリッジ_21は、Openflowセキュリティエントリが検索された(この検索されたOpenflowセキュリティエントリをエントリ51と記する)場合、エントリ51における転送動作に基づいて、パケット21を該Openflowブリッジ_21のポートPatch_VM_21を介して送信し続ける。   When an Openflow security entry is searched (this searched Openflow security entry is described as an entry 51), the Openflow bridge_21 sends the packet 21 via the port Patch_VM_21 of the Openflow bridge_21 based on the transfer operation in the entry 51. And continue sending.

BR−Intは、Patch_Int_21を介してパケット21を受信すると、ローカルのOpenflow転送テーブルの中から、パケット21にマッチングするOpenflow転送エントリを検索し(この検索されたOpenflow転送エントリをエントリ52と記する)、エントリ52における転送動作に基づいて、ポートPatch_50を介してパケット21を転送する。   When the BR-Int receives the packet 21 via the Patch_Int_21, the BR-Int searches for an Openflow transfer entry that matches the packet 21 from the local Openflow transfer table (this searched Openflow transfer entry is referred to as an entry 52). Based on the transfer operation in the entry 52, the packet 21 is transferred through the port Patch_50.

BR−Extは、Patch_51を介してパケット21を受信し、ローカルのOpenflow転送テーブルの中から、パケット21にマッチングするOpenflow転送エントリを検索する(ここでこの検索されたOpenflowセキュリティエントリをエントリ53と記する)。また、BR−Extは、検索されたエントリ53の転送動作におけるカプセル化操作に基づいて、パケット21をVXLANカプセル化し、検索されたエントリ53の転送動作における転送操作に基づいて、物理ポートPort_21を介して転送する。最終的に、VM_21から送信されるパケット21はPM_21に到着し、VM_21からPM_21へのアクセスが実現される。   The BR-Ext receives the packet 21 via the Patch_51, and searches the Openflow transfer entry that matches the packet 21 from the local Openflow transfer table (here, this searched Openflow security entry is described as the entry 53). To do). Also, the BR-Ext encapsulates the packet 21 based on the encapsulation operation in the transfer operation of the searched entry 53, and passes the physical port Port_21 based on the transfer operation in the transfer operation of the searched entry 53. Forward. Finally, the packet 21 transmitted from VM_21 arrives at PM_21, and access from VM_21 to PM_21 is realized.

クラウドプラットフォーム上のSDNコントローラは、Openflowブリッジ_21、BR−Int、BR−Extで行われるパケット21の転送中において、パケット21がOpenflowブリッジ_21を経由する時に検索されたエントリ51と、パケット21がBR−Intを経由する時に検索されたエントリ52と、パケット21がBR−Extを経由する時に検索されたエントリ53とを寄せ集めて、パケット21にマッチングするOpenflow転送エントリ(エントリ50と記する)をさらに生成して、Openflowブリッジ_21のOpenflow転送テーブルに配信する。このエントリ50におけるマッチング条件は、エントリ51〜エントリ53におけるマッチング条件の非重複の寄せ集めであり、このエントリ50における転送動作は、エントリ51〜エントリ53における転送動作の非重複の寄せ集めである。ここで、VXLANカプセル化を行って物理ポートPort_21を介して転送する転送動作を例に説明する。   The SDN controller on the cloud platform includes an entry 51 searched when the packet 21 passes through the Openflow bridge_21 during transfer of the packet 21 performed by the Openflow bridge_21, BR-Int, and BR-Ext, and the packet 21 is stored in the BR. -The entry 52 searched when passing through Int and the entry 53 searched when the packet 21 passes through BR-Ext are collected together, and an Openflow transfer entry (denoted as entry 50) matching the packet 21 is obtained. Furthermore, it produces | generates and delivers to the Openflow transfer table of Openflow bridge_21. The matching condition in the entry 50 is a non-overlapping collection of matching conditions in the entries 51 to 53. The transfer operation in the entry 50 is a non-overlapping collection of transfer operations in the entries 51 to 53. Here, a transfer operation in which VXLAN encapsulation is performed and transferred via the physical port Port_21 will be described as an example.

その後、VM_21がPM_21に再度アクセスする際、VM_21は、eth_21を介して、PM_21にアクセスするためのパケットを送信する。説明の便宜上、ここでのパケットをパケット22と記する。   Thereafter, when the VM_21 accesses the PM_21 again, the VM_21 transmits a packet for accessing the PM_21 via the eth_21. For convenience of explanation, the packet here is referred to as a packet 22.

Openflowブリッジ_21は、Veth_21を介してパケット22を受信し、パケット22は該Openflowブリッジ_21が初めて受信したVM_21からPM_22へのパケットではない(つまり非先頭パケットである)ことを発見すると、ローカルOpenflow転送テーブルの中から、パケット22にマッチングするOpenflow転送エントリ(つまり、上記SDNコントローラにより生成されたエントリ50)を検索する。   When the Openflow bridge_21 receives the packet 22 via the Veth_21 and finds that the packet 22 is not a packet from the VM_21 to the PM_22 received by the Openflow bridge_21 for the first time (that is, a non-first packet), the local Openflow transfer is performed. An Openflow transfer entry matching the packet 22 is searched from the table (that is, the entry 50 generated by the SDN controller).

Openflowブリッジ_21は、検索されたエントリ50における転送動作に基づいて、パケット22をVXLANカプセル化してBR−Extの物理ポートPort_21へトランスペアレント転送し、物理ポートPort_21を介してVXLANカプセル化されたパケット22を転送するようにBR−Extを動作させる。最終的に、VM_21から再度送信されるパケット22はVM_21に到着し、VM_21からPM_21への再度のアクセスが実現される。   Based on the transfer operation in the searched entry 50, the Openflow bridge_21 encapsulates the packet 22 in VXLAN and transparently transfers the packet 22 to the BR-Ext physical port Port_21. The VXLAN encapsulated packet 22 is transmitted through the physical port Port_21. Operate BR-Ext to transfer. Finally, the packet 22 transmitted again from the VM_21 arrives at the VM_21, and the re-access from the VM_21 to the PM_21 is realized.

以上は、本発明で提供する方法に関する説明である。以下には、本発明で提供する装置について説明する。   The above is a description of the method provided by the present invention. The apparatus provided by the present invention will be described below.

図6を参照する。図6は本発明の例で提供する、Openflowテーブルによりクラウドプラットフォームのセキュリティを実現する装置の構成図である。この装置は、クラウドプラットフォームにおけるクラウドサーバーの中に構築されてMACブリッジを代替するOpenflowブリッジに用いられる装置であり、Openflowブリッジはクラウドサーバー上のVMとBR−Intとの間に接続される。この装置は、Openflowエントリ記憶手段601、出力トラフィック制御手段602及び入力トラフィック制御手段603を備える。   Please refer to FIG. FIG. 6 is a configuration diagram of an apparatus that realizes the security of the cloud platform by the Openflow table provided in the example of the present invention. This device is a device used in an Openflow bridge that is built in a cloud server in the cloud platform and replaces the MAC bridge, and the Openflow bridge is connected between the VM on the cloud server and the BR-Int. This apparatus includes an Openflow entry storage unit 601, an output traffic control unit 602, and an input traffic control unit 603.

そのうち、Openflowエントリ記憶手段601は、予め配置されたOpenflowセキュリティテーブルを記憶する。   Among them, the Openflow entry storage unit 601 stores an Openflow security table arranged in advance.

出力トラフィック制御手段602は、ローカルVMからの第1のパケットを受信し、第1のパケットを受信した第1のポートと、第1のパケットに搭載されたパケット属性パラメータとを第1のキーワードとして、前記Openflowエントリ記憶手段に記憶されたOpenflowセキュリティテーブルの中から、マッチング条件が第1のキーワードであるOpenflowセキュリティエントリを検索し、検索された場合に、検索されたOpenflowセキュリティエントリにおける転送動作に基づいて第1のパケットを転送し、検索されなかった場合には、第1のパケットを破棄する。   The output traffic control means 602 receives the first packet from the local VM, and uses the first port that has received the first packet and the packet attribute parameter mounted on the first packet as the first keyword. The Openflow security table stored in the Openflow entry storage means is searched for an Openflow security entry whose matching condition is the first keyword, and when the search is found, based on the transfer operation in the searched Openflow security entry. The first packet is transferred, and if it is not searched, the first packet is discarded.

入力トラフィック制御手段603は、前記VM宛の第2のパケットを受信し、第2のパケットを受信した第2のポートと、第2のパケットに搭載されたパケット属性パラメータとを第2のキーワードとして、前記Openflowエントリ記憶手段に記憶されたOpenflowセキュリティテーブルの中から、マッチング条件が前記第2のキーワードであるOpenflowセキュリティエントリを検索し、検索された場合に、検索されたOpenflowセキュリティエントリにおける転送動作に基づいて第2のパケットを転送し、検索されなかった場合には、第2のパケットを破棄する。   The input traffic control means 603 receives the second packet addressed to the VM, uses the second port that has received the second packet, and the packet attribute parameter mounted on the second packet as the second keyword. In the Openflow security table stored in the Openflow entry storage means, the Openflow security entry whose matching condition is the second keyword is searched, and when the search is performed, the transfer operation in the searched Openflow security entry is performed. Based on this, the second packet is transferred, and if it is not searched, the second packet is discarded.

Openflowエントリ記憶手段601は、Openflow転送テーブルをさらに記憶することが好ましい。   The Openflow entry storage unit 601 preferably further stores an Openflow transfer table.

これに基づき、前記出力トラフィック制御手段602が検索されたOpenflowセキュリティエントリにおける転送動作に基づいて第1のパケットを転送することは、前記第1のパケットが先頭パケットである場合、該Openflowブリッジ上の第2のポートを介して、BR−Int上の、前記第2のポートとピアになる第3のポートへ第1のパケットを送信すること、および、前記第1のパケットが先頭パケットではない場合、前記Openflowエントリ記憶手段601に記憶されたOpenflow転送テーブルの中から、第1のパケットにマッチングするOpenflow転送エントリを検索し、検索されたOpenflow転送エントリにおける転送動作に基づいて第1のパケットを転送することを含む。   Based on this, the output traffic control means 602 transfers the first packet based on the transfer operation in the searched Openflow security entry. When the first packet is the first packet, When the first packet is transmitted to the third port that is peered with the second port on the BR-Int via the second port, and the first packet is not the first packet The Openflow transfer table stored in the Openflow entry storage unit 601 is searched for an Openflow transfer entry that matches the first packet, and the first packet is transferred based on the transfer operation in the searched Openflow transfer entry. Including doing.

ここで、前記第1のパケットが先頭パケットである場合、前記Openflowエントリ記憶手段601は、クラウドプラットフォームにおけるコントローラにより生成されて配信された、第1のパケットにマッチングするOpenflow転送エントリをさらに受信し、受信したOpenflow転送エントリをローカルOpenflow転送テーブルに記憶する。   Here, when the first packet is a head packet, the Openflow entry storage unit 601 further receives an Openflow transfer entry that matches the first packet generated and distributed by the controller in the cloud platform, The received Openflow transfer entry is stored in the local Openflow transfer table.

ここで、第1のパケットが前記VMから宛先デバイスへの先頭パケットであり、かつ宛先デバイスが同一のクラウドサーバー上の別のVMである場合、第1のパケットにマッチングするOpenflow転送エントリは、前記第1のパケットが該Openflowブリッジを経由する時に検索された、第1のパケットにマッチングするOpenflowセキュリティエントリと、第1のパケットがBR−Intを経由する時に検索された、第1のパケットにマッチングするOpenflow転送エントリと、第1のパケットが前記宛先デバイスに接続される宛先Openflowブリッジを経由する時に検索された、第1のパケットにマッチングするOpenflowセキュリティエントリとの組み合わせである。第1のパケットが宛先デバイスへの先頭パケットであり、かつ宛先デバイスがネットワーク上の物理ホスト又は別のクラウドサーバー上の別のVMである場合、第1のパケットにマッチングするOpenflow転送エントリは、前記第1のパケットが該Openflowブリッジを経由する時に検索された、第1のパケットにマッチングするOpenflowセキュリティエントリと、第1のパケットがBR−Intを経由する時に検索された、第1のパケットにマッチングするOpenflow転送エントリと、第1のパケットが外部ブリッジBR−Extを経由する時に検索された、第1のパケットにマッチングするOpenflow転送エントリとの組み合わせである。   Here, when the first packet is the first packet from the VM to the destination device and the destination device is another VM on the same cloud server, the Openflow forwarding entry that matches the first packet is Openflow security entry that matches the first packet that is searched when the first packet passes through the Openflow bridge and the first packet that is searched when the first packet passes through BR-Int This is a combination of an Openflow forwarding entry to be matched with an Openflow security entry that matches the first packet that is searched when the first packet passes through the destination Openflow bridge connected to the destination device. If the first packet is the first packet to the destination device and the destination device is a physical host on the network or another VM on another cloud server, the Openflow forwarding entry that matches the first packet is Openflow security entry that matches the first packet that is searched when the first packet passes through the Openflow bridge and the first packet that is searched when the first packet passes through BR-Int This is a combination of an Openflow transfer entry to be matched with an Openflow transfer entry that matches the first packet that is searched when the first packet passes through the external bridge BR-Ext.

一例において、クラウドサーバー上のOpenflowブリッジ、BR−Int、BR−Extは、ポートタイプがPatchであるポートによりつながる。   In one example, the Openflow bridge, BR-Int, and BR-Ext on the cloud server are connected by a port whose port type is Patch.

一例において、前記入力トラフィック制御手段603が検索されたOpenflowセキュリティエントリにおける転送動作に基づいて第2のパケットを転送することは、前記Openflowブリッジの、前記VMに接続される第1のポートを介して、前記VMへ第2のパケットを送信することを含んでもよい。   In one example, the input traffic control means 603 transfers the second packet based on the transfer operation in the searched Openflow security entry via the first port of the Openflow bridge connected to the VM. , Sending a second packet to the VM.

以上は、図6に示す装置に関する説明である。   The above is a description of the apparatus shown in FIG.

本発明はさらに、図6に示す装置のハードウェア構成図を提供する。図7を参照する。図7は、本発明で提供する、図6に示すOpenflowテーブルによりクラウドプラットフォームのセキュリティを実現する装置のハードウェア構成図である。図7に示すように、このハードウェア構成図は、メモリ710と、メモリ710と通信接続されるプロセッサー720と、インタフェース730とを含む。ここで、メモリ710は不揮発性記憶媒体であってもよく、プロセッサー720により実行されるコンピュータ実行可能コマンドを記憶する。このコンピュータ実行可能コマンドは、図3A〜図5のうちのいずれか一つの図に示すクラウドプラットフォームのセキュリティを実現する方法の操作を実現できる。また、前記コンピュータ実行可能コマンドは、図6に示すOpenflowテーブルによりクラウドプラットフォームのセキュリティを実現する装置の操作も実現できる。   The present invention further provides a hardware configuration diagram of the apparatus shown in FIG. Please refer to FIG. FIG. 7 is a hardware configuration diagram of an apparatus that realizes cloud platform security by the Openflow table shown in FIG. 6 provided in the present invention. As shown in FIG. 7, the hardware configuration diagram includes a memory 710, a processor 720 communicatively connected to the memory 710, and an interface 730. Here, the memory 710 may be a non-volatile storage medium and stores computer-executable commands executed by the processor 720. This computer-executable command can realize the operation of the method for realizing the security of the cloud platform shown in any one of FIGS. The computer-executable command can also realize the operation of the device that realizes the security of the cloud platform by the Openflow table shown in FIG.

あるいは、このメモリ710は、上記図6におけるOpenflowエントリ記憶手段601、出力トラフィック制御手段602及び入力トラフィック制御手段603を記憶すると理解してもよい。これに応じて、プロセッサー720は、Openflowエントリ記憶手段601を動作させる制御プログラムを実行することにより、メモリ710におけるOpenflowエントリ記憶手段601を制御して上記のような操作を実行させ、出力トラフィック制御手段602を動作させる制御プログラムを実行することにより、メモリ710における出力トラフィック制御手段602を制御して上記のような操作を実行させ、入力トラフィック制御手段603を動作させる制御プログラムを実行することにより、メモリ710における入力トラフィック制御手段603を制御して上記のような操作を実行させる。   Alternatively, the memory 710 may be understood to store the Openflow entry storage unit 601, the output traffic control unit 602, and the input traffic control unit 603 in FIG. In response to this, the processor 720 executes the control program for operating the Openflow entry storage unit 601, thereby controlling the Openflow entry storage unit 601 in the memory 710 to execute the operation as described above, and the output traffic control unit. By executing the control program for operating 602, the output traffic control means 602 in the memory 710 is controlled to execute the operation as described above, and the control program for operating the input traffic control means 603 is executed. The input traffic control means 603 at 710 is controlled to execute the above operation.

本発明は、クラウドプラットフォームのセキュリティを実現する方法及び装置を提供する。本発明において、クラウドプラットフォームにおけるクラウドサーバーの中にMACブリッジを代替するOpenflowブリッジを構築し、OpenflowブリッジはOpenflowセキュリティテーブルによりクラウドプラットフォームのセキュリティを実現する。これによって、Openflowテーブルによりクラウドプラットフォームのセキュリティを実現するという目的を達成し、クラウドプラットフォームセキュリティの制御性能を向上させる。また、本発明において、Openflowブリッジは、Openflowタイプのフローテーブルによりクラウドプラットフォームのセキュリティを実現し、クラウドサーバー上の他のブリッジ、例えばBR−Int、BR−Ext(同様にOpenflowタイプのフローテーブルを採用する)と統一して同じフローテーブルにより管理するため、ネットワークの配置及び管理を簡素化できる。   The present invention provides a method and apparatus for realizing security of a cloud platform. In the present invention, an Openflow bridge that replaces the MAC bridge is constructed in the cloud server in the cloud platform, and the Openflow bridge realizes the security of the cloud platform by the Openflow security table. Thus, the purpose of realizing the security of the cloud platform by the Openflow table is achieved, and the control performance of the cloud platform security is improved. In the present invention, the Openflow bridge realizes the security of the cloud platform by the Openflow type flow table, and adopts other bridges on the cloud server such as BR-Int and BR-Ext (also the Openflow type flow table is used similarly). Network management and management using the same flow table, the network arrangement and management can be simplified.

以上は本発明の好適な実施例にすぎず、本発明を限定するものではない。本発明の精神及び趣旨を逸脱しない範囲内の任意の変更、均等な置き換え、改良等はいずれも、本発明の権利範囲内に含まれる。   The above are only preferred embodiments of the present invention and do not limit the present invention. Any change, equivalent replacement, improvement and the like within the scope not departing from the spirit and spirit of the present invention are included in the scope of the right of the present invention.

Claims (10)

クラウドプラットフォームのセキュリティを実現する方法であって、クラウドプラットフォームにおけるクラウドサーバーの中に構築されてMACブリッジを代替する、前記クラウドサーバー上の仮想マシン(VM)と内部ブリッジ(BR−Int)との間に位置するOpenflowブリッジに用いられる方法において、
パケットを受信し、
前記パケットが、ローカルVMからのパケット、又はローカルVM宛のパケットである場合、前記パケットを受信したポートと、前記パケットに搭載されたパケット属性パラメータとをキーワードとして、ローカルに予め配置されたOpenflowセキュリティテーブルの中から、マッチング条件が前記キーワードであるOpenflowセキュリティエントリを検索し、検索された場合に、検索されたOpenflowセキュリティエントリにおける転送動作に基づいて前記パケットを転送し、検索されなかった場合には、前記パケットを破棄することを含むことを特徴とする方法。 A method for realizing security of a cloud platform between a virtual machine (VM) and an internal bridge (BR-Int) on the cloud server, which is constructed in a cloud server in the cloud platform and substitutes for a MAC bridge In the method used for the Openflow bridge located in
Receive the packet,
When the packet is a packet from a local VM or a packet destined for a local VM, Openflow security that is locally arranged in advance using the port that received the packet and the packet attribute parameter mounted on the packet as keywords. When the Openflow security entry whose matching condition is the keyword is searched from the table, and the packet is searched, the packet is transferred based on the transfer operation in the searched Openflow security entry. And discarding the packet. 前記パケットがローカルVMからのパケットであり、かつ前記パケットを受信したポートが第1のポートである場合、前記検索されたOpenflowセキュリティエントリにおける転送動作に基づいて前記パケットを転送することは、
前記パケットが先頭パケットである場合、該Openflowブリッジ上の第2のポートを介して、BR−Int上の、前記第2のポートとピアになる第3のポートへ前記パケットを送信し、
前記パケットが先頭パケットではない場合、ローカルOpenflow転送テーブルの中から、前記パケットにマッチングするOpenflow転送エントリを検索し、検索されたOpenflow転送エントリにおける転送動作に基づいて前記パケットを転送することを含む請求項1に記載の方法。 When the packet is a packet from a local VM and the port that received the packet is the first port, forwarding the packet based on the forwarding operation in the retrieved Openflow security entry includes:
If the packet is a leading packet, send the packet to a third port on the BR-Int that is a peer to the second port via the second port on the Openflow bridge;
When the packet is not the first packet, the method includes searching for an Openflow transfer entry matching the packet from a local Openflow transfer table, and transferring the packet based on a transfer operation in the searched Openflow transfer entry. Item 2. The method according to Item 1. 前記パケットが先頭パケットである場合に、さらに、
クラウドプラットフォームにおけるコントローラにより生成されて配信された、前記パケットにマッチングするOpenflow転送エントリを受信し、受信したOpenflow転送エントリをローカルOpenflow転送テーブルに記憶することを含み、
前記パケットが前記VMから宛先デバイスへの先頭パケットであり、かつ宛先デバイスが同一のクラウドサーバー上の別のVMである場合、前記パケットにマッチングするOpenflow転送エントリは、前記パケットが該Openflowブリッジを経由する時に検索された、前記パケットにマッチングするOpenflowセキュリティエントリと、前記パケットがBR−Intを経由する時に検索された、前記パケットにマッチングするOpenflow転送エントリと、前記パケットが前記宛先デバイスに接続される宛先Openflowブリッジを経由する時に検索された、前記パケットにマッチングするOpenflowセキュリティエントリとの組み合わせであり、
前記パケットが宛先デバイスへの先頭パケットであり、かつ宛先デバイスがネットワーク上の物理ホスト又は別のクラウドサーバー上の別のVMである場合、前記パケットにマッチングするOpenflow転送エントリは、前記パケットが該Openflowブリッジを経由する時に検索された、前記パケットにマッチングするOpenflowセキュリティエントリと、前記パケットがBR−Intを経由する時に検索された、前記パケットにマッチングするOpenflow転送エントリと、前記パケットが外部ブリッジ(BR−Ext)を経由する時に検索された、前記パケットにマッチングするOpenflow転送エントリとの組み合わせである請求項2に記載の方法。 If the packet is the first packet,
Receiving an Openflow forwarding entry generated and distributed by a controller in a cloud platform that matches the packet, and storing the received Openflow forwarding entry in a local Openflow forwarding table;
If the packet is the first packet from the VM to the destination device and the destination device is another VM on the same cloud server, the Openflow forwarding entry that matches the packet is sent via the Openflow bridge. The Openflow security entry that matches the packet that is searched when the packet is searched, the Openflow forwarding entry that matches the packet that is searched when the packet passes through BR-Int, and the packet is connected to the destination device. A combination with an Openflow security entry that matches the packet retrieved when going through the destination Openflow bridge;
If the packet is the first packet to the destination device and the destination device is a physical host on the network or another VM on another cloud server, the Openflow forwarding entry that matches the packet is the packet that the Openflow An Openflow security entry that matches the packet searched when passing through the bridge, an Openflow forwarding entry that matches the packet searched when the packet passes through BR-Int, and the packet is an external bridge (BR The method according to claim 2, wherein the method is a combination with an Openflow forwarding entry that matches the packet, which is searched when going through -Ext). 前記クラウドサーバー上のOpenflowブリッジ、BR−Int、BR−Extは、ポートタイプがPatchであるポートによりつながる請求項3に記載の方法。   4. The method according to claim 3, wherein the Openflow bridge, BR-Int, and BR-Ext on the cloud server are connected by a port whose port type is Patch. 前記パケットがローカルVM宛のパケットであり、かつ前記パケットを受信したポートが第2のポートである場合、前記検索されたOpenflowセキュリティエントリにおける転送動作に基づいて前記パケットを転送することは、
前記Openflowブリッジの、前記VMに接続される第1のポートを介して、前記VMへ前記パケットを送信することを含む請求項1に記載の方法。 If the packet is a packet destined for a local VM and the port that received the packet is a second port, forwarding the packet based on the forwarding operation in the retrieved Openflow security entry includes:
The method according to claim 1, comprising transmitting the packet to the VM via a first port of the Openflow bridge connected to the VM. クラウドプラットフォームのセキュリティを実現する装置であって、クラウドプラットフォームにおけるクラウドサーバーの中に構築されてMACブリッジを代替する、前記クラウドサーバー上の仮想マシン(VM)と内部ブリッジ(BR−Int)との間に位置するOpenflowブリッジに用いられる装置において、
プロセッサー及びメモリを含み、
前記メモリには、前記プロセッサーにより実行可能なコンピュータ実行可能コマンドが記憶され、
前記コンピュータ実行可能コマンドは、
パケットを受信する操作と、
前記パケットがローカルVMからのパケット、又はローカルVM宛のパケットである場合、前記パケットを受信したポートと、前記パケットに搭載されたパケット属性パラメータとをキーワードとして、ローカルに予め記憶されたOpenflowセキュリティテーブルの中から、マッチング条件が前記キーワードであるOpenflowセキュリティエントリを検索し、検索された場合に、検索されたOpenflowセキュリティエントリにおける転送動作に基づいて前記パケットを転送し、検索されなかった場合には、前記パケットを破棄する操作と、
を前記プロセッサーに実行させる装置。 A device for realizing security of a cloud platform, which is constructed in a cloud server in the cloud platform and substitutes for a MAC bridge, between a virtual machine (VM) on the cloud server and an internal bridge (BR-Int) In the device used for the Openflow bridge located in
Including processor and memory,
The memory stores computer executable commands executable by the processor,
The computer executable command is:
Receiving a packet;
When the packet is a packet from the local VM or a packet destined for the local VM, an Openflow security table stored in advance locally using the port that received the packet and the packet attribute parameter mounted on the packet as keywords. When the Openflow security entry whose matching condition is the keyword is searched from among the packets, the packet is transferred based on the transfer operation in the searched Openflow security entry, and when the search is not performed, An operation of discarding the packet;
That causes the processor to execute. 前記パケットがローカルVMからのパケットであり、かつ前記パケットを受信したポートが第1のポートである場合、前記コンピュータ実行可能コマンドは、
前記パケットが先頭パケットである場合、該Openflowブリッジ上の第2のポートを介して、BR−Int上の、前記第2のポートとピアになる第3のポートへ第1のパケットを送信し、前記パケットが先頭パケットではない場合、前記Openflowエントリ記憶手段に記憶されたOpenflow転送テーブルの中から、前記パケットにマッチングするOpenflow転送エントリを検索し、検索されたOpenflow転送エントリにおける転送動作に基づいて前記パケットを転送する操作を前記プロセッサーに実行させる請求項6に記載の装置。 If the packet is a packet from a local VM and the port that received the packet is the first port, the computer executable command is:
If the packet is the first packet, the first packet is transmitted to the third port on the BR-Int that is a peer with the second port via the second port on the Openflow bridge; If the packet is not the first packet, the Openflow transfer table stored in the Openflow entry storage means is searched for an Openflow transfer entry that matches the packet, and based on the transfer operation in the searched Openflow transfer entry. The apparatus of claim 6, causing the processor to perform an operation of forwarding a packet. 前記パケットが先頭パケットである場合、前記コンピュータ実行可能コマンドはさらに、クラウドプラットフォームにおけるコントローラにより生成されて配信された、前記パケットにマッチングするOpenflow転送エントリを受信し、受信したOpenflow転送エントリをローカルOpenflow転送テーブルに記憶する操作を前記プロセッサーに実行させ、
前記パケットが前記VMから宛先デバイスへの先頭パケットであり、かつ宛先デバイスが同一のクラウドサーバー上の別のVMである場合、前記パケットにマッチングするOpenflow転送エントリは、前記パケットが該Openflowブリッジを経由する時に検索された、前記パケットにマッチングするOpenflowセキュリティエントリと、前記パケットがBR−Intを経由する時に検索された、前記パケットにマッチングするOpenflow転送エントリと、前記パケットが前記宛先デバイスに接続される宛先Openflowブリッジを経由する時に検索された、前記パケットにマッチングするOpenflowセキュリティエントリとの組み合わせであり、
前記パケットが宛先デバイスへの先頭パケットであり、かつ宛先デバイスがネットワーク上の物理ホスト又は別のクラウドサーバー上の別のVMである場合、前記パケットにマッチングするOpenflow転送エントリは、前記パケットが該Openflowブリッジを経由する時に検索された、前記パケットにマッチングするOpenflowセキュリティエントリと、前記パケットがBR−Intを経由する時に検索された、前記パケットにマッチングするOpenflow転送エントリと、前記パケットが外部ブリッジ(BR−Ext)を経由する時に検索された、前記パケットにマッチングするOpenflow転送エントリとの組み合わせである請求項7に記載の装置。 If the packet is the first packet, the computer executable command further receives an Openflow transfer entry that is generated and distributed by the controller in the cloud platform and matches the packet, and the received Openflow transfer entry is transferred to the local Openflow. Causing the processor to perform the operations stored in the table;
If the packet is the first packet from the VM to the destination device and the destination device is another VM on the same cloud server, the Openflow forwarding entry that matches the packet is sent via the Openflow bridge. The Openflow security entry that matches the packet that is searched when the packet is searched, the Openflow forwarding entry that matches the packet that is searched when the packet passes through BR-Int, and the packet is connected to the destination device. A combination with an Openflow security entry that matches the packet retrieved when going through the destination Openflow bridge;
If the packet is the first packet to the destination device and the destination device is a physical host on the network or another VM on another cloud server, the Openflow forwarding entry that matches the packet is the packet that the Openflow An Openflow security entry that matches the packet searched when passing through the bridge, an Openflow forwarding entry that matches the packet searched when the packet passes through BR-Int, and the packet is an external bridge (BR The apparatus according to claim 7, wherein the apparatus is a combination with an Openflow transfer entry that matches the packet, which is searched when passing through (Ext). 前記クラウドサーバー上のOpenflowブリッジ、BR−Int、BR−Extは、ポートタイプがPatchであるポートによりつながる請求項8に記載の装置。   The apparatus according to claim 8, wherein the Openflow bridge, BR-Int, and BR-Ext on the cloud server are connected by a port whose port type is Patch. 前記パケットが前記VM宛のパケットであり、かつ前記パケットを受信したポートが第2のポートである場合、前記コンピュータ実行可能コマンドは、
前記Openflowブリッジの、前記VMに接続される第1のポートを介して、前記VMへ前記パケットを送信する操作を前記プロセッサーに実行させる請求項6に記載の装置。 If the packet is a packet addressed to the VM and the port that received the packet is a second port, the computer executable command is:
The apparatus according to claim 6, wherein the processor performs an operation of transmitting the packet to the VM via a first port connected to the VM of the Openflow bridge.
JP2018506402A 2015-08-07 2016-08-08 Realization of cloud platform security Active JP6595698B2 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201510478224.8A CN106385365B (en) 2015-08-07 2015-08-07 The method and apparatus for realizing cloud platform safety based on open flows Openflow table
CN201510478224.8 2015-08-07
PCT/CN2016/093909 WO2017025005A1 (en) 2015-08-07 2016-08-08 Cloud platform security realization

Publications (2)

Publication Number Publication Date
JP2018527813A true JP2018527813A (en) 2018-09-20
JP6595698B2 JP6595698B2 (en) 2019-10-23

Family

ID=57916401

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018506402A Active JP6595698B2 (en) 2015-08-07 2016-08-08 Realization of cloud platform security

Country Status (5)

Country Link
US (1) US10887280B2 (en)
EP (1) EP3313032B1 (en)
JP (1) JP6595698B2 (en)
CN (1) CN106385365B (en)
WO (1) WO2017025005A1 (en)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106385365B (en) 2015-08-07 2019-09-06 新华三技术有限公司 The method and apparatus for realizing cloud platform safety based on open flows Openflow table
CN107547439B (en) * 2017-09-08 2021-01-05 中国银联股份有限公司 Network flow control method and computing node
CN108183862B (en) * 2018-01-24 2021-02-09 上海宽带技术及应用工程研究中心 Communication method/system of software-defined switching network, readable storage medium and device
CN109309663B (en) * 2018-08-13 2021-03-19 厦门集微科技有限公司 Method and device for realizing penetration of two-layer protocol stack by docker network in cloud computing environment
CN109120556B (en) * 2018-08-21 2019-07-09 广州市品高软件股份有限公司 A kind of method and system of cloud host access object storage server
CN111885044A (en) * 2020-07-20 2020-11-03 平安科技(深圳)有限公司 Method, device, equipment and storage medium for configuring multiple network cards of cloud host
CN113726637B (en) * 2021-09-09 2022-11-01 华云数据控股集团有限公司 Network traffic transparent transmission method and device based on cloud platform and storage medium

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012077603A1 (en) * 2010-12-09 2012-06-14 日本電気株式会社 Computer system, controller, and network monitoring method
JP2013074362A (en) * 2011-09-27 2013-04-22 Nec Corp Virtual machine management device, method for managing virtual machine, and program
WO2013150925A1 (en) * 2012-04-03 2013-10-10 日本電気株式会社 Network system, controller, and packet authentication method
WO2015000386A1 (en) * 2013-07-02 2015-01-08 Hangzhou H3C Technologies Co., Ltd Virtual network

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100455130B1 (en) 2000-12-23 2004-11-08 엘지전자 주식회사 Proxy arp operation method using virtual arp packet
US20070022474A1 (en) 2005-07-21 2007-01-25 Mistletoe Technologies, Inc. Portable firewall
CN100553220C (en) 2007-08-22 2009-10-21 杭州华三通信技术有限公司 A kind of method and apparatus of realizing that downlink user is isolated in the VLAN
EP2482496B1 (en) 2009-09-24 2018-11-28 Nec Corporation Identification system for inter-virtual-server communication and identification method for inter-virtual-server communication
US20110134931A1 (en) * 2009-12-08 2011-06-09 Jacobus Van Der Merwe Virtual router migration
EP2523402A4 (en) 2010-01-05 2017-10-18 Nec Corporation Communication system, control apparatus, processing rule setting method, packet transmitting method and program
US20110299533A1 (en) 2010-06-08 2011-12-08 Brocade Communications Systems, Inc. Internal virtual network identifier and internal policy identifier
US9215175B2 (en) 2010-09-09 2015-12-15 Nec Corporation Computer system including controller and plurality of switches and communication method in computer system
CN102571738B (en) 2010-12-08 2015-09-16 中国电信股份有限公司 Based on the intrusion prevention method and system that VLAN exchanges
US8761187B2 (en) 2011-06-14 2014-06-24 Futurewei Technologies, Inc. System and method for an in-server virtual switch
US9424144B2 (en) 2011-07-27 2016-08-23 Microsoft Technology Licensing, Llc Virtual machine migration to minimize packet loss in virtualized network
US9167501B2 (en) * 2011-08-29 2015-10-20 Telefonaktiebolaget L M Ericsson (Publ) Implementing a 3G packet core in a cloud computer with openflow data and control planes
US8762501B2 (en) * 2011-08-29 2014-06-24 Telefonaktiebolaget L M Ericsson (Publ) Implementing a 3G packet core in a cloud computer with openflow data and control planes
US9185056B2 (en) 2011-09-20 2015-11-10 Big Switch Networks, Inc. System and methods for controlling network traffic through virtual switches
US9178833B2 (en) 2011-10-25 2015-11-03 Nicira, Inc. Chassis controller
US20130195113A1 (en) 2012-01-30 2013-08-01 Dell Products, Lp System and Method for Network Switch Data Plane Virtualization
US9350671B2 (en) 2012-03-22 2016-05-24 Futurewei Technologies, Inc. Supporting software defined networking with application layer traffic optimization
US8989188B2 (en) 2012-05-10 2015-03-24 Cisco Technology, Inc. Preventing leaks among private virtual local area network ports due to configuration changes in a headless mode
CN102739549B (en) 2012-07-13 2015-10-21 华为技术有限公司 Receive the method for message, the method sending message and device
CN102857416B (en) 2012-09-18 2016-09-28 中兴通讯股份有限公司 A kind of realize the method for virtual network, controller and virtual network
US9178715B2 (en) 2012-10-01 2015-11-03 International Business Machines Corporation Providing services to virtual overlay network traffic
US9215093B2 (en) 2012-10-30 2015-12-15 Futurewei Technologies, Inc. Encoding packets for transport over SDN networks
US9923831B2 (en) 2012-11-29 2018-03-20 Futurewei Technologies, Inc. Packet prioritization in a software-defined network implementing OpenFlow
US9609086B2 (en) * 2013-03-15 2017-03-28 International Business Machines Corporation Virtual machine mobility using OpenFlow
JP6275850B2 (en) 2013-08-31 2018-02-07 華為技術有限公司Huawei Technologies Co.,Ltd. Method and apparatus for processing operation requests in a storage system
US9912582B2 (en) * 2013-11-18 2018-03-06 Telefonaktiebolaget Lm Ericsson (Publ) Multi-tenant isolation in a cloud environment using software defined networking
US9264400B1 (en) * 2013-12-02 2016-02-16 Trend Micro Incorporated Software defined networking pipe for network traffic inspection
CN104394083B (en) * 2014-09-22 2017-12-15 华为技术有限公司 Method, the method and its device and system of message forwarding of forwarding-table item processing
CN104468389B (en) * 2014-11-27 2018-02-06 华为技术有限公司 Processing method, server and the server system of message
CN104518993A (en) * 2014-12-29 2015-04-15 华为技术有限公司 Allocation method, device and system for communication paths of cloud network
US9614789B2 (en) * 2015-01-08 2017-04-04 Futurewei Technologies, Inc. Supporting multiple virtual switches on a single host
US9628292B2 (en) * 2015-04-23 2017-04-18 Fortinet, Inc. Intelligent bridging of Wi-Fi flows in a software-defined network (SDN)
CN106385365B (en) 2015-08-07 2019-09-06 新华三技术有限公司 The method and apparatus for realizing cloud platform safety based on open flows Openflow table

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012077603A1 (en) * 2010-12-09 2012-06-14 日本電気株式会社 Computer system, controller, and network monitoring method
JP2013074362A (en) * 2011-09-27 2013-04-22 Nec Corp Virtual machine management device, method for managing virtual machine, and program
WO2013150925A1 (en) * 2012-04-03 2013-10-10 日本電気株式会社 Network system, controller, and packet authentication method
WO2015000386A1 (en) * 2013-07-02 2015-01-08 Hangzhou H3C Technologies Co., Ltd Virtual network

Also Published As

Publication number Publication date
EP3313032A4 (en) 2018-07-25
EP3313032B1 (en) 2020-07-08
EP3313032A1 (en) 2018-04-25
US10887280B2 (en) 2021-01-05
WO2017025005A1 (en) 2017-02-16
CN106385365A (en) 2017-02-08
JP6595698B2 (en) 2019-10-23
US20180212929A1 (en) 2018-07-26
CN106385365B (en) 2019-09-06

Similar Documents

Publication Publication Date Title
JP6595698B2 (en) Realization of cloud platform security
JP7475491B2 (en) Flow Processing Offload Using Virtual Port Identifiers
JP6581277B2 (en) Data packet transfer
US11223579B2 (en) Data processing method, network interface card, and server
CN109587065B (en) Method, device, switch, equipment and storage medium for forwarding message
US10216853B2 (en) Method and system for implementing a VXLAN control plane
US11936562B2 (en) Virtual machine packet processing offload
CN114531405B (en) Flow table processing method and related equipment
CN107113241B (en) Route determining method, network configuration method and related device
JP6437693B2 (en) Multicast data packet forwarding
WO2016119733A1 (en) Vxlan packet transmission
JP6574054B2 (en) Packet forwarding
CN108632145B (en) Message forwarding method and leaf node equipment
JP6529660B2 (en) Multicast data packet forwarding
JP6488426B2 (en) Multicast data packet forwarding
US10938679B2 (en) Packet monitoring
KR20130126833A (en) The method of high-speed switching for network virtualization and the high-speed virtual switch architecture
WO2014166073A1 (en) Packet forwarding method and network device
CN106878106B (en) Reachability detection method and device
Ha et al. Efficient flow table management scheme in SDN-based cloud computing networks
EP3493058A1 (en) Method and device for migrating a stateful function
WO2016183732A1 (en) Data packet forwarding method and network device
JP2020114024A (en) Method for controlling network
WO2014067055A1 (en) Method and device for refreshing flow table
WO2024108493A1 (en) Virtual and real combined dynamic traffic scheduling method and apparatus based on sdn and ndn

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180216

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190125

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190205

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20190426

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190705

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190827

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190926

R150 Certificate of patent or registration of utility model

Ref document number: 6595698

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250